文档信息
文档名称
|
安全事件报告与处置管理制度
|
文档编号
|
|
文档类别
|
策略方针 □管理制度 ■工作流程 □操作指南 □运维记录 □其他 □
|
当前版本
|
1.0
|
创建日期
|
2020-10-18
|
文档编辑部门
|
信息中心
|
文档作者
|
|
联系方式
|
|
修订记录
文档版本
|
日期
|
修改人员
|
审阅人员
|
修订摘要
|
V1.0
|
2020-10-18
|
|
|
建立文档
|
|
|
|
|
|
审批发布
序号
|
审核记录
|
日期
|
审阅人员
|
1
|
审阅
|
2020-10-18
|
|
2
|
正式核准发布
|
2020-10-18
|
|
3
|
|
|
|
一总则
目的。为进一步提高处置网络与信息安全突发公共事件的能力,确保重要计算机信息系统的实体安全、运行安全和数据安全,依据《信息安全管理办法》制定本管理制度。
对象。本管理制度的对象针对网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件。
范围。本制度适用于发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。
要求。信息系统的安全事件报告和处置安全管理统一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二事件分类
1.根据信息安全事件对业务可能造成的影响或已经造成影响的严重程度并结合信息安全事件的紧急程度将信息安全事件分为一般、严重和重大三个级别。
2.由于非法攻击、病毒入侵等安全原因对信息系统的主机、网络、数据库和数据等IT资产造成影响,但由于已经采取了安全预防措施,没有影响业务系统的正常运行,并能够通过信息中心安全管理员协调进行处理,在短期内发现并解决的安全问题,称为一般安全事件。
3.由于非法攻击、病毒入侵或后门等安全原因造成信息系统的主机、网络、数据库和数据等重要IT资产受到损害或数据丢失,并造成业务的影响但尚未造成大规模影响的安全问题称为严重安全事件。
4.由于有目的或者无目的的行为导致网络资源不足,业务部分不能提供服务;且已经证实有攻击行为持续发生;造成信息系统的主机、网络、数据库和数据等重要IT资产受到重大损害或重大数据丢失的安全事故定义为重大安全事件。
三通用要求
1.在信息安全事件调查的过程中必须注意信息的保密,严禁将信息透露给无关人员。
2.当外界对信息系统发生的信息安全事件进行询问和调查时,必须将这类请求转交给学校的对外相关部门进行处理,严禁私自回应。
3.在信息安全事件处理过程中,需要尽量多的收集相关证据:
(1)证据收集的过程中应记录发现证据的人员、地点、时间和能证明证据真实性的相关信息;
(2)收集电脑介质内的信息时确保其客观性,收集到的证据必须妥善保存;必要时应对相关证据内容进行手工记录。收集到的打印文件应安全地保留原版;
(3)收集证据前不应关闭系统以防丢失易破坏的证据;
(4)收集证据时不应在受损系统上运行任何程序。
4.在信息安全事件处理过程中,对系统操作的应严格按照相关操作规定以及变更要求进行处理。
5.信息安全事件处理完毕,所有系统恢复正常运行后,针对事件进行分析。集中所有相关人员讨论所发生的事件以及得到的经验教训,对现有的一些流程进行重新评审,对不适宜的环节进行修改,从系统中彻底删除诸如受到感染的文件。
6.安全事件报告应由信息中心安全管理员组织相关人员来写,并且在必要的时候向管理者提出建设性的建议。
7.对于信息系统发生重大安全事件,按照应急制度启动相关应急预案,并严格按照信息系统应急预案管理办法处理。
8.应建立信息安全事件监控系统,对各类信息安全事件进行集中监控和管理。
四一般事件管理程序
1.一般安全事件统一由信息中心安全管理员接口受理,并由相关系统管理员配合安全管理员对事件进行统筹管理和跟踪。
2.一般安全事件的处理流程由安全管理员负责协调处理,如涉及到业务环境系统的变更,按照信息系统变更管理规定进行处理。
3.一般安全事件处理完成后,由安全管理员组织相关人员对事件进行分析,并将结果通知相关事件发起人以及相关系统管理员,并因信息安全事件产生的各类系统漏洞,应明确表示相关人员不得尝试验证该漏洞。
4.系统管理员组根据各自分管的工作在月度总结中应包括对该月的安全运行情况总结汇报,并向安全管理员统一汇总。
5.日常检查工作由安全管理员组织相关系统管理员执行,发现在故障由日常检查人员负责向相应的领导进行汇报,并组织维护人员对系统进行修复。
五严重事件管理程序
1.严重安全事件报告流程:
(1)信息系统相关人员一旦发现有严重信息安全事件发生,必须在一小时以内向信息中心报告;
(2)信息中心接到严重信息安全事件的报告后,应组织相关人员详细了解信息安全事件的情况,必要时到现场进行调查,如属于一般信息安全事件,则按一般信息安全事件处理程序对信息安全事件理行处理,并根据情况随时向信息中心负责人报告;
(3)如果信息安全事件属于严重信息安全事件,信息中心接到严重信息安全事件报告后,详细了解信息安全事件的情况,指派专门技能的工作人员到现场进行调查和协助事件的处理;
(4)所有严重信息安全事件都应保留相关的记录,进行汇总,由安全管理员向信息中心负责人汇报;
(5)信息中心应组织对信息安全事件的总结进行回顾,吸取其中的经验教训,提出改善意见。
2.严重安全事件处理流程:
(1)现场保护:如果信息安全事件与数据和程序相关,则要求对存有数据和程序的存储介质进行备份,以保护数据和证据的安全、完整;
(2)防止扩散:如果发生信息安全事件设备或人员会影响信息系统其它设备和人员,则应立即采取隔离措施,如发现有设备感染网络病毒,则将设备从网络上断开。
(3)应急恢复处理:
u
如果发生信息安全事件的设备或人员不工作时会影响到业务运行,则要求尽快采用应急措施,启动备用资源;
u
在应急恢复处理时,必须保证不产生二次损坏或丢失证据。
(4)分析事件原因:
u
调查分析是安全事件处理的核心,其主要目的在于找到发生信息安全事件的原因和相关解决方案;
u
如果调查过程中,发现信息安全事件涉及窃取学校经济利益或损害学校名誉的行为,信息安全事件的处理报告给学校相关部门处理;对于触犯法律法规的行为,由学校相关部门决定是否移交公安部门进行调查处理。
(5)制定解决方案:根据信息安全事件的情况,由信息中心组织讨论、制定信息安全事件的解决方案,必要时联系相关的第三方服务商协助处理。
(6)实施解决方案:确定解决方案后,相关人员进行方案实施,恢复系统的正常运作状态,包括对遭受信息安全事件影响的系统进行恢复和安全修复两方面的工作,并作必要的技术处理,以保证不再发生相同的信息安全事件。
(7)实施检查:信息中心组织对事件的处理结果进行验证、回顾,对于处理结果是否达到预期效果进行评审,对事件的处理过程进行记录,保留相关文档。
(8)总结反馈:
u
信息中心应定期审阅所有信息安全事件报告,分析信息安全事件并总结经验教训;
u
确认其它资产是否受到类似的威胁,并采取预防措施;
u
审查信息安全事件涉及的安全策略、标准和程序,确定是否需要更新相关的文件;
u
对信息安全事件进行总结,并将总结反馈给相关部门;
u
从信息安全事件中汲取经验教训。
六附则
对违反本制度的人员,将按照有关规定进行处罚。
本制度由信息安全工作小组负责制定、解释和修改。
本制度自发布之日起执行。
信息安全工作小组
2020年10月18日